你的問題，有我回答，我是IT屠工！

1、用戶安全

(1) 運行 lusrmgr.msc,重命名原 Administrator 用戶為自定義一定長度的名字， 并新建同名Administrator 普通用戶，設(shè)置超長密碼去除所有隸屬用戶組。

(2) 運行 gpedit.msc ——計算機配置—安全設(shè)置—賬戶策略—密碼策略 啟動密碼復(fù)雜性要求，設(shè)置密碼最小長度、密碼最長使用期限，定期修改密碼保證 服務(wù)器賬戶的密碼安全。

(3) 運行 gpedit.msc ——計算機配置—安全設(shè)置—賬戶策略—賬戶鎖定策略 啟動賬戶鎖定，設(shè)置單用戶多次登錄錯誤鎖定策略，具體設(shè)置參照要求設(shè)置。

(4) 運行 gpedit.msc ——計算機配置—安全設(shè)置—本地策略—安全選項 交互式登錄 :不顯示上次的用戶名；——啟動 交互式登錄：回話鎖定時顯示用戶信息；——不顯示用戶信息

(5) 運行 gpedit.msc ——計算機配置—安全設(shè)置—本地策略—安全選項

網(wǎng)絡(luò)訪問：可匿名訪問的共享；——清空

網(wǎng)絡(luò)訪問：可匿名訪問的命名管道；——清空

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑；——清空

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑；——清空

(6) 運行

gpedit.msc

ASPNET

Guest IUSR_***** IWAM_*****

NETWORK SERVICE

SQLDebugger

注：用戶添加查找如下圖：

(7) 運行 gpedit.msc ——計算機配置—安全設(shè)置—本地策略—策略審核 即系統(tǒng)日志記錄的審核消息，方便我們檢查服務(wù)器的賬戶安全，推薦設(shè)置如下：

2、共享安全

(1) 運行 Regedit——刪除系統(tǒng)默認(rèn)的共享 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter

s]增加一個鍵：名稱 : AutoShareServer ; 類型 : REG_DWORD值; : 0

(2) 運行 Regedit——禁止 IPC 空連接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的鍵值改成 ”1”。

3. 服務(wù)端口安全

(1) 運行 Regedit——修改 3389 遠(yuǎn)程端口

打開 [HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal

ServerWds dpwdTds cp]，將 PortNamber 的鍵值（默認(rèn)是3389 ）修改成自定義端 口:14720

打開 [HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp] ，將 PortNumber 的鍵值（默認(rèn)是3389）修改成自定義 端口 :14720

(2) 運行 services.msc——禁用不需要的和危險的服務(wù) 以下列出建議禁止的服務(wù)，具體情況根據(jù)需求分析執(zhí)行：

Alerter 發(fā)送管理警報和通知

Automatic Updates Windows 自動更新服務(wù)

Computer Browser 維護網(wǎng)絡(luò)計算機更新（網(wǎng)上鄰居列表）

Distributed File System 局域網(wǎng)管理共享文件

Distributed linktracking client 用于局域網(wǎng)更新連接信息

Error reporting service 發(fā)送錯誤報告

Remote Procedure Call (RPC) Locator RpcNs*遠(yuǎn)程過程調(diào)用(RPC)

Remote Registry 遠(yuǎn)程修改注冊表

Removable storage 管理可移動媒體、驅(qū)動程序和庫

Remote Desktop Help Session Manager 遠(yuǎn)程協(xié)助

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Shell Hardware Detection 為自動播放硬件事件提供通知。

Messenger 消息文件傳輸服務(wù)

Net Logon 域控制器通道管理

NTLMSecuritysupportprovide telnet 服務(wù)和 Microsoft Serch 用的

PrintSpooler 打印服務(wù)

telnet telnet 服務(wù)

Workstation 泄漏系統(tǒng)用戶名列表（注：如使用局域網(wǎng)請勿關(guān)閉）

(3) 運行 gpedit.msc —— IPSec安全加密端口，內(nèi)部使用加密訪問。

原理：利用組策略中的“ IP 安全策略”功能中，安全服務(wù)器（需要安全）功能。

將 所有訪問遠(yuǎn)程如13013 端口的請求篩選到該ip安全策略中來， 使得該請求需要通過 雙方的預(yù)共享密鑰進行身份認(rèn)證后才能進行連接，其中如果一方?jīng)]有啟用“需要安全”時，則無法進行連接，同時如果客戶端的預(yù)共享密鑰錯誤則無法與服務(wù)器進行 連接。在此條件下，不影響其他服務(wù)的正常運行。

操作步驟：

1) 打開

GPEDIT.MSC

2) 退回到 “編輯規(guī)則屬性” 中，在此再選擇“身份驗證方法” 。刪除“ Kerberos 5”,

點擊添加，在“新身份驗證方法”中，選擇“使用此字符串（預(yù)共享密鑰） ，然后填寫服務(wù)器所填的預(yù)共享密鑰 （服務(wù)器的預(yù)共享密鑰為 ”123abc,.”）。然后確 定。

3) 選擇“安全服務(wù)器（需要安全）”右鍵指派即可。 附截圖：

以上是我的回答，希望可以幫助到您！

這個問題非常好，有助于提高大家安全意識。防止服務(wù)器被入侵是網(wǎng)絡(luò)安全的范疇。我們要系統(tǒng)性思維來考慮。

中國在2016年推出了《網(wǎng)絡(luò)安全法》，同時，在2019年12月發(fā)布了《等級保護》2.0。這里頭都對網(wǎng)絡(luò)安全要求提高到了更高的高度。按國家要求，我們安全至少需要從兩方面來防護：

技術(shù)手段

在計算機安全技術(shù)上，我們可以從4個方面來著手分析服務(wù)器存在的風(fēng)險，以及防范措施。

①、物理環(huán)境安全

物理環(huán)境就是指我們服務(wù)器存放的位置，我們需要分析它是否存在風(fēng)險，比如：

• 如果是自有服務(wù)器，你必須要有相對隔離的專用空間，并配上門禁和視頻監(jiān)控控制出入。因為如果服務(wù)器人人都可以觸碰到它，那它沒有任何安全可言。因為只要物理上可以接觸到，那就有可能會被惡意的人盜走服務(wù)器，然后在慢慢破解服務(wù)器，獲取服務(wù)器的信息。

• 如果服務(wù)器是托管，你必須要求托管方有上面提到的門禁、視頻監(jiān)控等。不過，一般都會有。

• 如果是云服務(wù)器，也就是虛擬機，那你要求云服務(wù)商的物理服務(wù)器必須在國內(nèi)，同樣有上面提到的基本物理安全。

②、通訊網(wǎng)絡(luò)安全

通訊網(wǎng)絡(luò)就是服務(wù)器需要對外提供服務(wù)使用的網(wǎng)絡(luò)系統(tǒng)。這一塊是我們比較熟悉的。我們需要做如下措施來保障安全：

• 出口必須有防火墻，（有條件用雙機）通過防火墻的的規(guī)則，可以屏蔽不需要開放的端口。使得黑客們的攻擊面變窄。

• 服務(wù)器和桌面終端不能在同一個區(qū)域，至少需要劃分VLAN隔離。

• 對外服務(wù)的訪問盡量采用加密訪問，比如：web服務(wù)就盡量采用HTTPS來提供；

• 有分支結(jié)構(gòu)訪問的，采用加密IPsec VPN或者SSL VPN來訪問。

• 服務(wù)器本身需要有 TPM 芯片（現(xiàn)在一般都有），該芯片是可信計算模塊，可以幫助我們的服務(wù)器對內(nèi)部的計算信息進行加密。確保不會在計算過程中因為信息被竊取而出現(xiàn)安全問題。

③、區(qū)域邊界安全

這里說的區(qū)域是指我們內(nèi)部網(wǎng)絡(luò)進行區(qū)域劃分，比如：桌面處于一個區(qū)域（安全級別較低），服務(wù)器處于一個區(qū)域（安全級別較高）；

• 不同的區(qū)域之間雖然有前面提到的VLAN隔離，但是我們還需要部署防火墻系統(tǒng)，讓低安全等級的區(qū)域不能隨意進入高安全等級區(qū)域。

• 出口的邊界區(qū)域，除了前面提到需要出口防火墻外，還可以配備入侵防御系統(tǒng)IPS、來防范攻擊。因為防火墻只是收窄了攻擊面。相當(dāng)于只是一個小區(qū)保安幫忙過濾了一下進出人員。但無法防范偽冒正常流量的攻擊。所以需要配備IPS，來對入侵進行防御。

• 服務(wù)器必須配備防病毒系統(tǒng)。如果服務(wù)器眾多，可以配備防病毒網(wǎng)關(guān)。服務(wù)器就1-2臺，那就在服務(wù)器上安全企業(yè)殺毒軟件，防止病毒入侵。

④、計算安全

計算安全就是服務(wù)器本身的計算安全。這里需要防止服務(wù)器本身的軟硬件不安全和內(nèi)部人員的惡意行為。

• 系統(tǒng)要加固，也就是操作系統(tǒng)要及時打補丁，尤其是安全補丁。如果服務(wù)器眾多，可以考慮上服務(wù)器加固系統(tǒng)。

• 身份安全：也就是服務(wù)器的密碼必須復(fù)雜口令、并且定時更換。有條件的可以采用動態(tài)密碼和靜態(tài)密碼結(jié)合的雙因子認(rèn)證。

• 定期要進行漏洞掃描，防止服務(wù)器在使用過程中出現(xiàn)漏洞。一旦掃描發(fā)現(xiàn)漏洞，需要立即進行修復(fù)。

• 服務(wù)器日志要集中收集，運維人員定時分析日志。發(fā)現(xiàn)異常入侵行為日志，應(yīng)該立即預(yù)警，并作出防御行動。

• 最后，為了防止內(nèi)部人員惡意入侵，我們還需要一套堡壘機，通過堡壘機來控制所有的運維人員對服務(wù)器的操作。確保其權(quán)限始終，并且操作行為可被追蹤。

管理手段

管理手段是指我們服務(wù)器在持續(xù)運營的階段，我們要保障它的安全性可以持續(xù)。我們需要通過建立以下管理手段：

• 建立安全管理制度，制定安全策略、發(fā)布完整的安全管理制度；

• 建立安全管理機構(gòu)：落實安全崗位、人員職責(zé)，并有監(jiān)督機制；

• 人員安全管理：對安全人員要定期進行安全培訓(xùn)，對人員入職、離職做好安全管理。對于來訪人員應(yīng)該做好安全管控，比如：必須明確可以進入的區(qū)域，不能進入的區(qū)域；

• 采購安全設(shè)備，要關(guān)注安全設(shè)備廠商的資質(zhì)、設(shè)備的認(rèn)證情況；

• 建立安全運維制度：無論自己運維還是第三方運維，都必須有一套安全運維管理制度來管理整個安全運維

結(jié)束語

從系統(tǒng)化思維出發(fā)，可以全面防范服務(wù)器入侵。由于整個安全防范是非常大的一個范圍。每個范圍都是很大的技術(shù)知識體系。這里只是簡要描述。如有疑問可以關(guān)注評論。

最安全的方法，把服務(wù)器關(guān)掉[捂臉]

開個玩笑，防止服務(wù)器入侵是一個長期化的工程，沒有一個辦法能一勞永逸，除非，你把服務(wù)器關(guān)了；

入侵服務(wù)器有以下幾個關(guān)鍵突破口:

1、操作系統(tǒng)漏洞

操作系統(tǒng)是一個龐大的代碼集合，上千萬行甚至上億行的代碼，為了兼容各種設(shè)備，運行各種軟件，想要徹底的指望系統(tǒng)沒有bug，沒有漏洞是不可能的，只能指望廠家勤更新，自己勤打補丁，并且關(guān)閉不必要的服務(wù)，減少系統(tǒng)的漏洞；

2、業(yè)務(wù)系統(tǒng)漏洞

您本身運行在系統(tǒng)上運行的業(yè)務(wù)軟件，未客戶提供的服務(wù)，這些都是由程序員開發(fā)的，一個業(yè)務(wù)系統(tǒng)或軟件，做的在精細(xì)，都不可避免的出現(xiàn)bug或者漏洞，只能發(fā)現(xiàn)問題，解決問題，做好數(shù)據(jù)備份是最至關(guān)重要的；

3、其他軟件

在服務(wù)器上不可避免的運行著除操作系統(tǒng)和業(yè)務(wù)服務(wù)的一些軟件和工具，這些軟件或工具本身就存在bug或漏洞，會被利用，多升級軟件或者多做數(shù)據(jù)備份。

古話說:只有千日做賊，哪有千日防賊的，信息安全就是一場弄不結(jié)束的矛與盾的戰(zhàn)爭，這個世界上應(yīng)該還內(nèi)有完美的、0漏洞的系統(tǒng)，做好日常的檢查、升級、防護、預(yù)警和數(shù)據(jù)備份，才是做重要的。

希望我的回答對您有所幫助。

[呲牙]

您好！很高興回答您的問題！

防止黑客入侵服務(wù)器第一步：防ACCESS數(shù)據(jù)庫下載

添加MDB的擴展映射就可以了。方法：IIS屬性，主目錄，配置，映射，應(yīng)用程序擴展里添加。mdb的應(yīng)用解析，至于選擇的解析文件大家可以自已測試，只要訪問數(shù)據(jù)庫時出現(xiàn)無法找到該頁就可以了，這里給出一個選擇為wam.dll

防止黑客入侵服務(wù)器第二步：防上傳

以MSSQL數(shù)據(jù)庫為例。在IIS的WEB目錄，在權(quán)限選項里只能IIS用戶讀取和列出目錄的權(quán)限，然后進入上傳文件保存和存放數(shù)據(jù)庫的目錄，給IIS用戶加上寫入的權(quán)限，然后在這二個目錄的屬性，執(zhí)行權(quán)限選項

防止黑客入侵服務(wù)器第三步：防MSSQL注入

這很重要，在一次提醒，連接數(shù)據(jù)庫萬萬不能用SA帳號。一般來說可以使用DB——OWNER權(quán)限來連接數(shù)據(jù)庫。不過這存在差異備份來獲得WEBSHELL的問題。下面就說一下如何防差異備份。

差異備份是有備份的權(quán)限，而且要知道WEB目錄。現(xiàn)在找WEB目錄的方法是通過注冊表或是列出主機目錄自已找，這二個方法其實用到了XP_REGREAD和XP_DRITREE這二個擴展存儲，我們只要刪除他們就可以了。但是還有一點就是萬一程序自已爆出目錄呢。所以要讓帳號的權(quán)限更低，無法完成備份。操作如下：在這個帳號的屬性，數(shù)據(jù)庫訪問選項里只需要選中對應(yīng)的數(shù)據(jù)庫并賦予其DB_OWNER權(quán)限，對于其它數(shù)據(jù)庫不要操作，接著還要到該數(shù)據(jù)庫，屬性，權(quán)限，把該用戶的備份和備份日志的權(quán)限去掉就可以了，這樣入侵者就不能通過差異備份來獲取WEBSEHLL了。

要進行安全部屬，符合國家等保的級別，這也是防止攻擊的一個標(biāo)準(zhǔn)。

服務(wù)器本身也要具備安全的能力，比如，權(quán)限控制，web注入這些也要有一定的防御能力。

安全部屬就是要建立防御體系，這里就需要找安全廠商提供解決方案，比如流量分析設(shè)備，入侵防御設(shè)備，傳統(tǒng)防火墻，云服務(wù)等等進行協(xié)作，來搭建一個整套的安全體系。

總之，防御是根本，黑客的攻擊層出不窮，想要徹底擋住，也是一個非常大的挑戰(zhàn)，所以現(xiàn)在才有了護網(wǎng)行動，來為我國的安全建設(shè)，提前進行預(yù)警。

很高興能回答您的問題，對于如何防范服務(wù)器被入侵攻擊建議如下：

1、安裝殺毒軟件、服務(wù)器安全狗，網(wǎng)站安全狗，D盾之類的一些防護軟件，對服務(wù)器系統(tǒng)進行漏洞掃描，修復(fù)漏洞，及時更新系統(tǒng)補丁，開啟防火墻，對服務(wù)器的入站規(guī)則進行設(shè)置。

2、對端口策略進行設(shè)置，禁用所有TCP/IP端口，然后只開啟80，修改遠(yuǎn)程端口3389并開啟修改后的端口，設(shè)置遠(yuǎn)程允許登陸IP白名單，如果需要ftp可以修改ftp21端口并開啟修改后的端口，如果需要sqlserver可以修改SQLServer1433端口并開啟修改后的端口，如果需要mysql可以修改mysql3306端口并開啟修改后的端口，修改端口方法可以網(wǎng)上搜索。

3、對系統(tǒng)磁盤目錄和網(wǎng)站存放目錄進行權(quán)限訪問設(shè)置，將每個分區(qū)的權(quán)限只給administrator和system權(quán)限，其它都刪掉。對于網(wǎng)站上傳(如：圖片，文件)存放目錄只設(shè)寫入權(quán)限。

4、禁用所有默認(rèn)用戶，并重新新建用戶，禁用系統(tǒng)guest用戶，adminstrator用戶，然后新建管理員用戶并加入管理員組和遠(yuǎn)程桌面組，密碼設(shè)置為復(fù)雜密碼。

5、開啟遠(yuǎn)程桌面服務(wù)，關(guān)閉系統(tǒng)不必要的服務(wù)如：Print Spooler，Microsoft Serch，Remote Registry。

6、設(shè)置服務(wù)器本地安全策略如：

7、對服務(wù)器系統(tǒng)進行日常維護，病毒查殺，對網(wǎng)站程序進行漏洞掃描，發(fā)現(xiàn)一些可疑文件如（.asp文件）及時處理。

8、做好服務(wù)器raid備份、系統(tǒng)備份、網(wǎng)站文件備份。

以上是對服務(wù)器入侵的一些防范措施，不是很全面，希望對您有幫助。

1、在部署應(yīng)用系統(tǒng)時，對代碼和中間件進行漏洞掃描，避免應(yīng)用開發(fā)不完善導(dǎo)致應(yīng)用漏洞

2、對操作系統(tǒng)進行最新補丁升級，避免操作系統(tǒng)漏洞

3、關(guān)閉操作系統(tǒng)常見端口和服務(wù)，如137、445、3389等

4、禁用操作系統(tǒng)非必要的賬戶，將操作系統(tǒng)超級用戶改名，設(shè)置復(fù)雜密碼

5、邊界設(shè)置防火墻，如無必要，關(guān)閉訪問互聯(lián)網(wǎng)權(quán)限，進入端口進行策略設(shè)置，關(guān)閉其它非業(yè)務(wù)端口

6、開啟web防火墻，將web應(yīng)用加入到策略中

7、開啟動ips入侵防御系統(tǒng)

8、設(shè)置地域來源，如有必要，可關(guān)閉國外訪問

公司的服務(wù)器一般都安裝有安全軟件，去保護計算機的安全，但是還是會有病毒出現(xiàn)，是服務(wù)器宕機。下面提出我的幾點建議：

1.做好常規(guī)檢查，定期檢查是不是出現(xiàn)了一些非常規(guī)的文件，早發(fā)現(xiàn)早刪除。

2.修改默認(rèn)的用戶名和密碼，還要修改默認(rèn)的開放端口，關(guān)閉一些不常用的端口，防止成為病毒入侵的門徑。

3.盡量使用大公司的云服務(wù)器，例如ucloud云、ucloud云等，大公司的安全還是值得信賴的。

大致就這么些，希望可以幫到你。[來看我]

瀉藥。

防火墻這些不說，常規(guī)操作，上就行了。

此外，我一般是通過監(jiān)控日志方式來保護服務(wù)器，可以對敏感文件進行實時監(jiān)控，釘釘微信告警。

監(jiān)控工具也很多，比較輕量的開源監(jiān)控工具，推薦wgcloud監(jiān)控系統(tǒng)，主要是安裝上手簡單，體驗好

一、配置加固

1)限制連續(xù)密碼錯誤的登錄次數(shù)，是對抗密碼暴力破解的重要手段；

2)拆分系統(tǒng)管理員的權(quán)限，取消超級管理員，從而限制入侵者獲取管理員賬戶時的權(quán)限；

3)刪除不需要的各種賬戶，避免被攻擊者利用；

4)關(guān)閉不需要的服務(wù)端口，一是減少攻擊者的入侵點，二是避免被入侵者當(dāng)作后門利用；

5)限制遠(yuǎn)程登錄者的權(quán)限，尤其是系統(tǒng)管理權(quán)限；

二、合規(guī)性加固

比如權(quán)限劃分

三、反控制加固

比如：掌握控制權(quán)、發(fā)現(xiàn)隱藏者、監(jiān)控操作者

景安網(wǎng)絡(luò)專業(yè)的數(shù)據(jù)中心服務(wù)商，值得你托管租用服務(wù)器！